Obiettivi della guida:
In questa guida vedremo il pfSense Schedule per l’Accesso con OpenVPN tramite il nostro pfSense alla rete LAN.
Mediante una schedulazione temporale, sarà possibile limitare gli accessi dei client che si connettono con OpenVPN e creare delle restrizioni agli accessi dei singoli server e device.
Hardware utilizzato:
Questa guida si può applicare a tutti gli hardware da noi certificati della linea firewall che potete trovare qui: https://www.miniserver.it/firewall
Ambiente software:
Schedulazione Accessi per gli utenti OpenVPN:
Per permettere l’accesso dei nostri utenti solo in un intervallo temporale è necessario creare una schedulazione che ci sarà utile diverse occasioni.
- Procediamo andando sotto Firewall/Schedules/ e premiamo il tasto Add.
- In “Schedule Name” è necessario dare un nome alla nostra schedulazione.
- A questo punto selezioneremo il mese a cui applicarla e i giorni cliccando sul singolo giorno del calendario,
- selezioniamo il range di orario e clicchiamo Su “Add Time”.
- Ripetiamo la procedura per aggiungere un altro range di orario/data da assegnare a questa schedulazione.
- Tutti i range creati verranno visualizzati sotto “Configured Ranges”
Ecco come comparirà la nostra schedulazione ultimata.
A questo punto, allo scopo di implementare la schedulazione creata nelle Firewall Rules, è necessario assegnare un ben specifico indirizzo IP statico del tunnel VPN all’utente/i che vogliamo limitare.
Questo è necessario in quanto il firewall gestisce le regole tramite indirizzi IP.
Per assegnare un indirizzo IP statico all’utente procederemo in questo modo:
- andiamo sotto VPN/OpenVPN/Client Specific Overrides e premiamo il tasto “Add”
Nella schermata di configurazione che ci apparirà sarà sufficiente configurare solo 2 voci:
- “Common Name”: il nome dell’utente che utilizza la VPN
- “Advanced”: dovremo inserire la seguente stringa ifconfig-push [IP_TUNNEL] [NETMASK]
Dove IP_TUNNEL sarà l’indirizzo IP del tunnel che vorremo venga assegnato all’utente.
Ripetiamo la procedura per ogni utente che ci interessa gestire.
Gestione e restrizione accessi per gli utenti OpenVPN
Possiamo ora implementare la nostra schedulazione creata precedentemente nelle Firewall Rules per regolare gli accessi degli utenti e limitarne o consentirne l’accesso ai singoli server.
Verrà spiegato come consentire l’accesso a un server in un certo orario, solo ad un determinato utente che si connette in VPN.
Iniziamo recandoci sotto Firewall/Rules posizioniamoci sotto l’interfaccia “OpenVPN” premiamo il tasto “Add” per creare una nuova regola da posizionare in alto.
Selezioniamo come “protocol” Any e in “Source” inseriamo l’indirizzo IP appartenente alla rete del Tunnel VPN definito precedentemente e assegnato all’utente interessato.
In “destination” possiamo inserire in “Single host or alias” l’indirizzo IP del server a cui vogliamo restringere il collegamento dell’utente.
In fine posizioniamoci su “Advanced Options” e nella voce “Schedule” selezioniamo la Schedulazione creata in precedenza.
In questo modo abbiamo concesso all’utente “john” che si collega in VPN con l’indirizzo IP del Tunnel 10.20.30.20 di accedere solamente al server 192.168.2.55 durante il range di orario stabilito nello scheduling.
Possiamo ripetere la procedura per ogni utente a cui vogliamo concedere l’accesso al server ad un certo range di orario
A questo punto per impedire che l’utente acceda ad altri dispositivi della rete creiamo una regola che blocchi l’accesso a tutto. Questa regola deve essere posizionata SOTTO le regole di accesso create in precedenza e ad esso associate.
Ecco come compariranno le regole create, da notare che il simbolo in corrispondenza dello “schedules” è di colore verde se in quel momento soddisfiamo le regole descritte nella nostra schedulazione.
Sarà di colore giallo invece quando saremo fuori dal range di schedulazione e dunque non si avrà accesso.